海外における個人情報流出事件とその対応 第208回 給与支払サービス大手でデータ漏えいか? (1)脆弱性を利用しマルウェアを配布
9月下旬に、米国の会社PayChoiceでシステムがサイバー犯罪者の侵入を受けた。最初にブログで取り上げたのは、Unixwiz.netのSteve Friedlだ。Steve Friedlはカリフォルニアに住むソフトウェアとネットワークセキュリティのコンサルタントだ。その後、Friedlが書いた内容
国際
海外情報
PayChoiceはニュージャージー州にある、給与処理サービスの会社で、この分野では米国最大手の1社だ。世界的なレベルの給与支払いスイートおよび雇用者のサービスのためのツールを用意している。PayChoiceの製品を使うことで、給与支払いや、記録、税金の申告などの"面倒"から開放されるというもので、240社の給与支払い会社に対して、給与支払い管理製品をライセンス供与している。また、この240社はさらに12万5,000社にサービスを提供している。
Krebsは、9月23日、多数のPayChoices顧客が、PayChoiceのオンライン給与支払いサービスポータルonlineemployer.comから、サービスに続けてアクセスするためには、Webブラウザプラグインをダウンロードする必要があるとのe-mailを受信したと書いている。Friedlによると、偽のメールで、不正や詐欺、スパムメールなどを避けるために、特別なインターネットブラウザのプラグインをダウンロードすることを求めていたというものだ。
e-mailでは、プラグインなしでは、メールが送信された5日後にあたる28日からはサイトにアクセスができなくなるとの警告も行われていた。時間を区切ることで、受信者は至急ダウンロードしなければならないという心理的圧力を受け、攻撃の効果は高くなると言えるだろう。しかし、e-mailはPayChoiceから実際に送付されたのではなく、プラグインは被害者のユーザ名やパスワードを盗み出そうとするものだった。、また、PayChoiceでは、影響を受けているのは、Online Employerを使っている顧客のみで、電話やファクスをはじめとする、Web以外のインプット方法を用いている顧客については無事だとしている。
また、『NetworkWorld』の記事では、顧客の従業員情報への権限のないアクセスがあったという痕跡はないとしている。しかし、顧客に対して、従業員に銀行口座やクレジットカードの使用明細に注意しておき、異常があれば警察に届けるようにアドバイスすることを勧めている。
●メールに顧客ユーザ名とパスワードが表示
Friedlは、e-mailの英語はあまり良い出来ではないとコメントして、英語圏以外から送信されていたことをほのめかしている。また、Friedlがポスティングしたe-mailのサンプルによると、送信者はOnline Employer Update Center、件名はOnline Employer ブラウザプラグインとなっている。Online EmployerはPayChoiceがライセンス供与をしているソフトウェアだ。
Krebsは、「通常、フィッシング詐欺だと、無差別に多数の受信者に対してメールを送付する」が、「この攻撃ではPayChoicwの顧客の名前がメッセージの本文で使用されている」と指摘している。フィッシング詐欺の場合、犯罪者は金融機関などになりすまして、メールの受信者の一部が、その金融機関を利用しているという前提の下にメールを送付するというものだ。自分が使っている金融機関からの連絡だと誤解して、大量に送ったメールの受信者の何割かが、メールの指示にしたがい、マルウェアなどに感染してしまうのを狙う。
しかし、PayChoiceでは、顧客名が表示され、それぞれの顧客にあててのメッセージだったということで、ターゲットをしぼった攻撃だ。受信者は宛名に自分の名前が出ていることで、実際にPayChoiceから送付されたメールだと信じてしまいやすい。さらに、メールの本文は、受信者の個人名に続き、onlineemployer.comのユーザ名と、一部のついてはサイトへのパスワード4文字分も含まれていたことで、受信者にとってはより信憑性の高いメールになっていた。
これらのメールはYahoo!が無料で提供するWebメールを利用して送信されているが、e-mailで表示される送信元は"Online Employer Update Center"だ。メールでは、受信者に対して、マルウェアのファイルをダウンロードするために、幾つかのWebサイトにアクセスすることを求めている。Webサイトは、ポーランドのサーバでホスティングされていた。
●悪用されたセキュリティ脆弱性
そして、リンクされていたサイトは、Webブラウザにおけるセキュリティ上の幾つかの欠点を悪用して、マルウェアをインストールしようとする。ダウンロードのオプションとして、Google Chrome、Opera、Internet Explorer、Mozilla Firefoxのいずれかを選ぶことができるように提示されているが、全てマルウェアがダウンロードされるようにリンクされていた。
Krebsによると、MicrosoftのExplorerやアドビ社のFlashやReaderのセキュリティ上の脆弱性などを悪用して…
【執筆:バンクーバー新報 西川桂子】
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec
《ScanNetSecurity》